Soc 2: n valintaperiaatteet

Luottamuspalveluperiaatteet

Luottamuspalveluperiaatteet

security SOC2-periaate

ei-yksityisyydensuojaa koskevassa SOC 2-sitoumuksessa Turvallisuusperiaate on otettava mukaan. Turvallisuusperiaate yhteisinä kriteereinä, joita sovelletaan SOC 2: n toimintaan ja joita sovelletaan kautta linjan kaikkiin asianomaisiin päämiehiin yksityisyyttä lukuun ottamatta. Tietoturvaperiaatteissa käsitellään sitä, onko järjestelmä suojattu (sekä fyysisesti että loogisesti) luvattomalta käytöltä.

salassapitovelvollisuus SOC2-periaate

Jos organisaatiosi tarjoamat palvelut käsittelevät arkaluonteisia tietoja, kuten henkilökohtaisia tietoja (pii) tai suojattuja terveystietoja (Phi), Salassapitovelvollisuusperiaatteen tulisi olla mukana SOC 2-tarkastuskertomuksessa. Luottamuksellisuusperiaate koskee sopimuksia, joita sinulla on asiakkaiden kanssa siitä, miten käytät heidän tietojaan, kenellä on pääsy niihin ja miten suojelet niitä. Noudatatko sopimusvelvoitteitasi suojaamalla asianmukaisesti asiakastietoja?
 saatavuus SOC2-periaate

varmistatteko, että asiakkaillenne tarjoamanne järjestelmät (infrastruktuuri ja sovellus) ovat käytettävissä ja niitä käytetään sovittujen käyttöaikojen mukaisesti? Saatavuus osoittaa, toimivatko tarjoamasi palvelut sillä saatavuustyypillä, jota asiakkaasi odottavat ja joka on dokumentoitu SLA: ssasi. Saatavuusperiaate koskee tyypillisesti yrityksiä, jotka tarjoavat asiakkailleen colocation -, datakeskus -, SAAS – (Software As a Service) – pohjaisia palveluja tai hosting-palveluja.

jos tarjoamasi palvelut ovat rahoituspalveluja tai verkkokauppapalveluja ja koskevat kaupallista eheyttä, eheyden käsittely on periaate, joka tulisi sisällyttää SOC 2-Tarkastukseesi . Sinun on varmistettava, että asiakkaillesi tarjoamasi palvelut ovat täydellisiä, tarkkoja, valtuutettuja ja ajallaan.

 Yksityisyys SOC2-periaatteet

lopuksi meillä on yksityisyyden periaate. Yksityisyyden periaate on hyvin ainutlaatuinen ja todella seisoo omillaan. Siinä käsitellään erityisesti sitä, miten keräät ja/tai käytät kuluttajien henkilötietoja, ja onko heillä oikeus kieltäytyä siitä, miten heidän tietojaan käytetään. Se varmistaa, että organisaatiosi käsittelee asiakastietoja yhteisön tietosuojailmoituksessa esitettyjen sitoumusten mukaisesti, kuten on tehty tai sovittu, ja AICPA: n antamissa yleisesti hyväksytyissä tietosuojaperiaatteissa määriteltyjen kriteerien mukaisesti.

joten sinun ei välttämättä tarvitse käsitellä kaikkia viittä Luottamuspalveluperiaatetta SOC 2-tilintarkastuskertomuksessasi, sinun tulisi kuitenkin valita periaatteet, jotka ovat merkityksellisiä asiakkaillesi tarjoamiesi palvelujen kannalta …

muutama hyvä vinkki varmistaaksesi, että osut naulan kantaan:

  • hyvä paikka aloittaa on aina tarkistaa asiakkaasi kanssa heidän odotuksensa siitä, mitä Luottamusperiaatteita he odottavat sinua todistetaan.
  • voit myös tarkistaa allekirjoittamasi SLA: n, ottaa sidosryhmäpalautetta.
  • viimeisenä mutta ei vähäisimpänä, katso yrityksesi näkemystä siitä, mitä olet luvannut tarjota asiakkaallesi, vaikka he eivät odottaisi samaa.

johtopäätös

vaikka organisaatioiden ei välttämättä tarvitse käsitellä kaikkia viittä Luottamuspalveluperiaatetta SOC 2-tilintarkastuskertomuksessaan, niiden tulisi kuitenkin valita periaatteet, jotka ovat merkityksellisiä niiden asiakkailleen tarjoamien palvelujen kannalta. Mielestäni on parasta, että organisaatiot keskustelevat samasta konsulttien kanssa, jotta he tietävät, mitä heidän liiketoiminnaltaan vaaditaan.

jos olet valmis aloittamaan SOC 2-auditoinnin ja tarvitset apua Luottamuspalveluperiaatteiden määrittämisessä, ota yhteyttä jo tänään. Kymmeniä onnistuneita SOC1 / 2 / 3-todistuksia vyöllämme, tarjoamme SOC2-todistuspalveluja, vaikka Yhdysvaltain toimistomme (VISTA InfoSec LLC) ja meillä on oma AICPA-akkreditoitu CPA varmistamaan, että raportit ovat täysin legit.

Katso webinaari SOC2 Trust Principles